theghost Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Ποιο απο τρία είναι πιο ευάλωτο σε επιθέσεις (hacking, bots); Drupal, Wordpress, Joomla? Έχω joomla sites και γνωρίζω οτι είναι αρκέτα ευάλωτο. Κάπου διάβασα ότι το drupal δεν είναι. 2
elis88 Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Σε γενικές γραμμές συνήθως τα κενά ασφαλείας σε αυτα τα cms, είναι στα plugins. Όποις και αν επιλέξεις λοιπόν αν κρατάς το cms και τα plugins που χρησιμοποιείς ενημερωμένα έχεις πιο ασφαλές περιβάλλον. 1
arc Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Όλα ειναι ευάλωτα και ο βαθμός εξαρτάται απο πολλούς λόγους. Π.χ. Τα περασμένα updates Τα plugins που ειναι εγκατεστημένα Τα permission των αρχείων Άρα η απάντηση διαφοροποιείται κατά περίπτωση.
Rude_R Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Όλα ειναι ευάλωτα και ο βαθμός εξαρτάται απο πολλούς λόγους. Π.χ. Τα περασμένα updates Τα plugins που ειναι εγκατεστημένα Τα permission των αρχείων Άρα η απάντηση διαφοροποιείται κατά περίπτωση. συμφωνω και προσθετω οτι εκτος το να το παρακολουθεις και να το ενημερωνεις παντα θα πρεπει να παρεις και μετρα προστασιας, δλδ να κανεις security hardening και βέβαια παιζει ρολο και o hosting provider σου σε θέματα firewall monitoring k bruteforce attacks ενημερωμενες εκδόσεις κτλ υπαρχουν ακομα providers που παίζουν ακομα σε php 5.2 με λιγα λογια το ιδιο ευαλωτα ειναι και τα 3. απο σενα εξαρτατε το ποσο ασφαλη θα είναι και απο οτι καταλαβα με τα ηδη που εχεις δεν τα πηγες καλα..... ψαξε στο νετ για νικολαο διονυσοπουλο akeeba backup ειναι δικος μας Ελληνας και εχει πολλες λυσεις για ασφαλεια και εχει φτιαξει αρκετους οδηγους και .htaccess rules για security se joomla. να σαι καλα Νικο πιστευω να σε καλυψα, 1
PC_MAGAS Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Ακόμα και σε θέματα security γενικότερα κοίτα και owasp. https://www.owasp.org/index.php/Main_Page Τέλος το να έχεις το latest stable long term support version είναι η καλύτερη λύση. Και σαφώς τα updates είναι MUST Ακόμη για να είσαι 99.99999999999999.....% σίγουρος μπορείς να κάνεις και penetration testing έτσι αν έχει κάποιο κενό ασφαλείας να μπορείς να το φτιάξεις. Στα περίσσότερα modules και plugin δίνοντάι υπό GNU GPL Licence ή licence συμβατούς με το πνεύμα του Ελευθέρου λογισμικού έτσι μπορείς να τα φτιάξεις με το "χέρι" και να δίνεις patches πίσω σε αυτόν που τα κάνει.
mtsouk Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Επίσης πολλές φορές το πρόβλημα είναι με την PHP... Σε γενικές γραμμές πάντως, έχοντας ένα καλό αρχείο .htaccess, σωστά file permissions, κ.λπ. είσαι σε καλή κατάσταση. Προσωπικά, προτιμώ Drupal αν και έχω δουλέψει με όλα τα CMS που αναφέρεις. Επίσης, αν ο κύριος παράγοντας είναι η ασφάλεια, κοίτα και το Django (Python framework).
theghost Δημοσ. 15 Ιανουαρίου 2014 Μέλος Δημοσ. 15 Ιανουαρίου 2014 Είχα πιο παλία προβλήματα. Τωρα με συχνα updates, captcha, και ποσέχωντας απο παίρνω templates και plugins το έχω ελαχιστοποιήσει αυτό το πρόβλημα. Κάποιος φίλος μου είχε πει να βγάλω το configuration.php εκτος public_html.
seedrr Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 καλη ερωτηση.. πρωφανός δεν υπαρχει απαντηση που να είναι γενική. Ενα σημαντικό πράμα είναι και ο λογος που θα δεχτεις μια επιθεση. Πχ. υπαρχουν σαιτ με joomla 1.5 που είναι τελειος τρυπια αλλα δεν χακαριζονται διοτι δεν υπαρχει κινητρο. οσο ποιο δημοφιλη είναι η το site σου σιγουρα αυξανετε και το κινητρο επιθεσης. Αυτο δεν είναι παλι στανταρ διοτι καποιος που θελει να σου κανει πρωσοπικο κακό μεσω της σελιδας σου μπορει να το κανει ευκολα αν διαβασει 5-10 tutorial και χωρις να εχει πολλες γνωσεις σχετικα. Αν δηλαδι μπεις στο ματι ενω καλου ή και κακου χακερ θα στο σπασει καποια στιγμη. Ευτυχως αυτο σημβαινει πολυ σπανια !!! Αυτο που σημβαινει πολυ συχνα ειναι να κατεβαζουμε ως αρχαριοι οτι να ναι απο οπου να ναι και να τα βαζουμε στο site μας. Αυτα κατα 99% ειναι κακόβουλα. Πχ. Οταν προτοξεκινησα πριν 6 χρονια να κανω σελιδες ειχα κατεβασει το artister σπασμενο για να κανω template σε joomla .. Mega λαθος !!!!! Ο τυπος που το εκανε είχε στρατο απο ζομπι σερβερς και εγω εγινα αθελα μου θυμα... Οτοδυποτε extention που το βρίσκεις δωρεαν απο ακυρη πηγη ειναι στανταρ μολισμενο Δεν ξερω το επιπεδο σου και μπορει να υα 8εωρεις αυτονοητα αυτα αλλα τα γραφω και για τους αρχαριους που θα δουν το θεμα. 1
PC_MAGAS Δημοσ. 15 Ιανουαρίου 2014 Δημοσ. 15 Ιανουαρίου 2014 Ενα σημαντικό πράμα είναι και ο λογος που θα δεχτεις μια επιθεση. Πχ. υπαρχουν σαιτ με joomla 1.5 που είναι τελειος τρυπια αλλα δεν χακαριζονται διοτι δεν υπαρχει κινητρο. Όταν εκανα πρακτική το είδα live το 1.5 το πόσο αδύναμο είναι. Το να κάνεις site σε 1.5 είναι σαν να στήνεσαι σε βιαστή γυμνός/γυμνή..... 1
PC_MAGAS Δημοσ. 16 Ιανουαρίου 2014 Δημοσ. 16 Ιανουαρίου 2014 Χα χα Ωραιος pc_magas!! Άσε έτρεχε ο άνθρωπος είχε κάνει deface ένα κάρο site. Αν κάνεις σε CMS site πρέπει να πληρώνεις και το mentainance πέρα από το hosting.
Rude_R Δημοσ. 16 Ιανουαρίου 2014 Δημοσ. 16 Ιανουαρίου 2014 καλη ερωτηση.. πρωφανός δεν υπαρχει απαντηση που να είναι γενική. Ενα σημαντικό πράμα είναι και ο λογος που θα δεχτεις μια επιθεση. Πχ. υπαρχουν σαιτ με joomla 1.5 που είναι τελειος τρυπια αλλα δεν χακαριζονται διοτι δεν υπαρχει κινητρο. οσο ποιο δημοφιλη είναι η το site σου σιγουρα αυξανετε και το κινητρο επιθεσης. Αυτο δεν είναι παλι στανταρ διοτι καποιος που θελει να σου κανει πρωσοπικο κακό μεσω της σελιδας σου μπορει να το κανει ευκολα αν διαβασει 5-10 tutorial και χωρις να εχει πολλες γνωσεις σχετικα. Αν δηλαδι μπεις στο ματι ενω καλου ή και κακου χακερ θα στο σπασει καποια στιγμη. Ευτυχως αυτο σημβαινει πολυ σπανια !!! Αυτο που σημβαινει πολυ συχνα ειναι να κατεβαζουμε ως αρχαριοι οτι να ναι απο οπου να ναι και να τα βαζουμε στο site μας. Αυτα κατα 99% ειναι κακόβουλα. Πχ. Οταν προτοξεκινησα πριν 6 χρονια να κανω σελιδες ειχα κατεβασει το artister σπασμενο για να κανω template σε joomla .. Mega λαθος !!!!! Ο τυπος που το εκανε είχε στρατο απο ζομπι σερβερς και εγω εγινα αθελα μου θυμα... Οτοδυποτε extention που το βρίσκεις δωρεαν απο ακυρη πηγη ειναι στανταρ μολισμενο Δεν ξερω το επιπεδο σου και μπορει να υα 8εωρεις αυτονοητα αυτα αλλα τα γραφω και για τους αρχαριους που θα δουν το θεμα. το warez και τα Pirate sυνηθως ετσι είναι ακομα και για προγραμματα και για windows αλλά ο καθενας δεν το σκεφτετε μεχρι να την πατηση. τωρα αν καποιος ασχολειτε για χαβαλε η για χομπυ οκ..... αλλα αν απευθυνεσε για production δουλεια δεν κάνεις τετοια πραγματα. Όταν εκανα πρακτική το είδα live το 1.5 το πόσο αδύναμο είναι. Το να κάνεις site σε 1.5 είναι σαν να στήνεσαι σε βιαστή γυμνός/γυμνή..... ποτε έκανες πρακτικη; και πανω σε τι; τα παρα λες λιγο....και μην ξεχνας οτι πλεον το 1.5 ειναι outdated kai unsupported είναι λογικο εν ετη 2014 πλεον να βλέπεις τα vulnerability σε μια outdated εκδοση. είναι σαν να σου λεω εγω τι μάπα pc ειναι η Amiga 500... σήμερα είναι μαπα.... την εποχη που βγήκε όμως Γαμ....κ εδερνε.... ελπιζω να καταλαβες τι θελω να πω. Παντως εγω εχω πελατη που εχει κρατηση το joomla 1.0 και δεν θελειιιιιιιι να το αναβαθμιση με τιποτα στείλε πμ να σου στείλω λινκ να το σπάσεις. ετσι ωστε να αναγκαστει να το αναβαθμίση κιολας. προσωπικα ομως δεν νομίζω να τα καταφερεις. Άσε έτρεχε ο άνθρωπος είχε κάνει deface ένα κάρο site. Αν κάνεις σε CMS site πρέπει να πληρώνεις και το mentainance πέρα από το hosting. εννοειτε οτι ενα δυναμικο σαιτ . ενα "ζωντανο" θέλει maintenance....παντα.
hostdog Δημοσ. 16 Ιανουαρίου 2014 Δημοσ. 16 Ιανουαρίου 2014 Attack vectors που έχουμε δει και δεν είναι το πρώτο που περνάει από το μυαλό συνήθως περιλαμβάνουν και τον χρήστη-webmaster: -FileZilla (κρατά FTP κωδικούς unencrypted, φυσικά έχουν αναπτυχθεί αντίστοιχα malware που εκμεταλλεύονται αυτό ακριβώς και φορτώνουν συνήθως iframes και hidden redirects) -Symlink race condition (Apache's το issue εδώ, δυστυχώς όσο παλιά ιστορία και να είναι αποτελεί νούμερο ένα πονοκέφαλο hosts που δεν έχουν GRSec, Cloudlinux, mod_ruid ή κάποιο specific patch τέλοσπάντων) -"Σπασμένο" software, ναι όπως αναφέρθηκε συνήθως έρχεται πακέτο με backdoors όταν πρόκειται για web app και keylogger/trojan όταν πρόκειται για desktop apps. -Login από public wifi, όσο πιο unencrypted τόσο πιο καλά -uploaded PHP shells Πιο συγκεκριμένα, (last time i checked at least) στο WordPress θα κάνεις το register σου κι είσαι ready to go να ανεβάσεις το plugin σου στο repository. Στο Drupal πρέπει να περάσεις "εξετάσεις", προσωπική γνώμη: λίγο ανώτερα τα standards του community => αναγκαστικά του αντίστοιχου κώδικα. (Βέβαια ο καθένας καταλαβαίνει ότι δεν λέω "σκουπίδι" από άποψη ασφάλειας το πιο δημοφιλές CMS ανά τον κόσμο, έτσι; ) Φιλικά, Παναγιώτης
Rude_R Δημοσ. 16 Ιανουαρίου 2014 Δημοσ. 16 Ιανουαρίου 2014 Ναι το FILEZILLA είναι θέμα και παρα πολλοι δεν το ξερουν ουτε εχουν καταλαβει πως και γιατι χακαριστηκαν.
dimitris.nikolaou34 Δημοσ. 16 Ιανουαρίου 2014 Δημοσ. 16 Ιανουαρίου 2014 Καλησπέρα σε όλους! Γνωρίζουμε κάποιο site ή πρόγραμμα που να κάνει κάποιο έλεγχο στο πόσο ευάλωτο είναι κάποιο site σε cms (συγκεκριμένα wordpress) αλλά δωρεάν; Έχω βρει κάποια αλλά θέλουν πληρωμές. Ευχαριστώ!
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα